当我将用户输入数据插入我使用的 mysql 数据库时,mysql_real_escape_string
. 输入数据包含 bbcode,例如 [img][/img]
.
下面是输出 html 时的行。
$information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
echo $information;
关于此示例,这是防止XSS攻击的正确方法还是使用htmlspecialchars($var,ENT_QUOTES)
或htmlentities
?
使用htmlspecialchars()
来防止XSS攻击
$message = preg_replace('#'[img'](.*?)'[/img']#', '<img src="$1" />', $message);
防止 XSS 攻击